REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Jak atakowane są banki ?

Jak atakowane są banki ?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
04 czerwca 2010, 15:21
Kaspersky Lab Polska

REKLAMA

REKLAMA

Artykuł zawiera przegląd metod wykorzystywanych obecnie przez cyberprzestępców do atakowania instytucji finansowych, w szczególności banków. Opisane tu trendy i zagadnienia są kluczowe jeśli chodzi o bezpieczeństwo danych, którymi dysponują współczesne instytucje finansowe Na koniec propozycja kilku sposobów mogących pomóc zapewnić ochronę przed zagrożeniami, które nieodłącznie wiążą się z bankowością online.

Ogólne trendy

REKLAMA

W 2007 roku producenci rozwiązań antywirusowych zauważyli ogromny wzrost liczby szkodliwych programów atakujących banki (finansowe szkodliwe oprogramowanie). Mimo braku jasnych informacji z sektora finansowego świadczy to o wzroście liczby ataków na banki.

REKLAMA

• Twórcy szkodliwego oprogramowania nieustannie zmieniają swoje programy, aby uniemożliwić ich wykrycie przez rozwiązania antywirusowe. Jednak w przypadku niewielkich zmian, producenci rozwiązań bezpieczeństwa wykrywają nowe próbki szkodliwego oprogramowania przy pomocy sygnatur stworzonych dla wcześniejszych wariantów.
•  Ataki bankowe to na ogół wielostopniowy proces obejmujący socjotechnikę, phishing oraz wykorzystanie trojanów downloaderów, które pobierają finansowe szkodliwe oprogramowanie. Przestępcom łatwiej jest zmodyfikować trojany downloadery (które zwykle mają mniejszy rozmiar i są mniej skomplikowane) niż finansowe szkodliwe oprogramowanie.

Zwiększyła się nie tylko liczba szkodliwych programów atakujących instytucje finansowe, ale również liczba szkodników, które potrafią atakować więcej niż jeden bank lub instytucję jednocześnie.

To oznacza, że celem ogromnej większości takich szkodliwych programów jest atakowanie od jednego do trzech banków. Taka taktyka spowodowana jest dużą regionalizacją finansowego szkodliwego oprogramowania - celem tego typu programów jest przeprowadzanie ataków na określone banki lub instytucje w danym regionie. Dlatego poszczególne szkodliwe programy będą atakowały najpopularniejsze banki w regionie, np. Stanach Zjednoczonych, Niemczech, Meksyku czy Wielkiej Brytanii.

Dalszy ciąg materiału pod wideo

REKLAMA

Większość finansowych szkodliwych programów atakuje niewielką liczbę banków. Możemy wyróżnić dwa powody, dla których to właśnie te a nie inne banki stanowią popularny cel ataków: po pierwsze, duża liczba klientów, po drugie stosunkowa łatwość uzyskania uwierzytelnienia umożliwiającego dostęp do kont ze względu na słabe zabezpieczenie.

W 2007 roku wzrosła liczba trojanów tworzonych w celu kradzieży wszystkich danych wprowadzanych do formularzy internetowych. Trojany te atakują najpopularniejsze przeglądarki internetowe, takie jak Internet Explorer, Opera czy Firefox. Naturalnie mogą być wykorzystywane do kradzieży kart kredytowych. Przy pomocy takich szkodników można złamać zabezpieczenia banków - wszystko zależy od stopnia zaawansowania zastosowanych środków bezpieczeństwa. Wiele banków stosujących uwierzytelnienie jednokierunkowe może paść ofiarą stosunkowo prostych ataków.

Unikanie wykrycia

Finansowe szkodliwe programy odzwierciedlają główne trendy dotyczące wektorów infekcji wykorzystywanych przez inne zagrożenia IT - ogromna większość szkodników atakujących banki infekuje maszyny lub systemy podczas surfowania przez użytkownika po stronach internetowych. Chociaż niektóre z takich programów nadal przedostają się na maszyny za pośrednictwem poczty elektronicznej, istnieją wyraźne powody, dla których osoby atakujące instytucje finansowe wolą wykorzystywać do tego celu Internet.

Porady, triki i tutoriale  (Windows XP, Vista, MS Office,) - czytaj na komputer.wieszjak.pl

Po pierwsze, szkodliwe programy dostarczane za pośrednictwem poczty elektronicznej bardziej przyciągają uwagę producentów rozwiązań antywirusowych oraz instytucji finansowych, nie wspominając już o mediach i użytkownikach końcowych. Ukradkowość jest kluczowym czynnikiem decydującym o powodzeniu ataków na instytucje finansowe, dlatego atak typu drive-by download (atak mający miejsce podczas przeglądania stron WWW) przeprowadzony przy użyciu exploitów jest bez wątpienia atrakcyjną metodą. Jeśli użytkownik nie zauważy niczego podejrzanego, będzie korzystał ze swojego komputera tak jak zwykle - w tym przypadku, nadal będzie wprowadzał poufne dane, które mogą zostać skradzione i wykorzystane przez cyberprzestępców.

Drugim czynnikiem - istotnym jeśli chodzi o uniknięcie szybkiego wykrycia przez rozwiązanie antywirusowe - jest to, że szkodliwe programy infekujące systemy za pośrednictwem sieci są umieszczane na serwerze sieciowym. To oznacza, że cyberprzestępcy wykorzystujący te programy w celu przeprowadzania ataków mogą bardzo łatwo modyfikować szkodliwe pliki przy użyciu zautomatyzowanych narzędzi - metoda ta znana jest jako polimorfizm po stronie serwera. W przeciwieństwie do typowego polimorfizmu (gdy algorytm wykorzystywany do modyfikowania kodu jest zawarty w kodzie szkodliwego programu), mechanizm wykorzystywany do modyfikowania szkodliwego oprogramowania nie może być analizowany przez ekspertów z branży antywirusowej, ponieważ znajduje się on na serwerze.

Można naturalnie stworzyć procedury wykrywania generycznego dla programów wykorzystujących polimorfizm po stronie serwera, wymaga to jednak czasu.
Ponadto, niektóre z bardziej zaawansowanych trojanów downloaderów wykorzystywanych do dostarczania finansowego szkodliwego oprogramowania na komputery ulega samozniszczeniu, po tym jak uda im się lub nie pobrać finansowe szkodliwe programy. Naturalnie utrudnia to analizę przeprowadzaną przez specjalistów zajmujących się zwalczaniem szkodliwego oprogramowania.

Muły pieniężne

Wzrost liczby finansowych szkodliwych programów spowodowany jest coraz większą kryminalizacją cyberprzestrzeni polegającą na wykorzystywaniu szkodliwych programów do zarabiania pieniędzy. Cyberprzestępcy muszą w jakiś sposób uzyskać dostęp do skradzionych środków. Naturalnie nie mogą przelać skradzionych pieniędzy na własne konta, ponieważ w ten sposób mogliby zostać łatwo zidentyfikowani i znacznie zwiększyliby ryzyko aresztowania.
W odpowiedzi na wzrost liczby ataków banki zainwestowały więcej czasu, wysiłku i pieniędzy w rozwój mechanizmów wykrywania oszustw i nielegalnej aktywności.

Jednym z zabezpieczeń jest "ogłaszanie alarmu", gdy do podejrzanego regionu na świecie zostanie przelana duża ilość pieniędzy.
W celu obejścia tego zabezpieczenia cyberprzestępcy zaczęli wykorzystywać "muły pieniężne". Muły często werbuje się za pośrednictwem pozornie legalnych ofert pracy - na przykład, cyberprzestępcy mogą ogłosić nabór na "menedżera finansowego". Jeżeli potencjalny muł przyjmie taką ofertę, otrzyma do podpisu dokumenty, tak aby cała procedura wydawała się zgodna z prawem. Muł udostępnia swoje konto bankowe, pozwalając, aby dokonywano na nie przelewów pieniężnych, a następnie przelewa 85% - 90% otrzymanej kwoty dalej przy pomocy takiej usługi jak MoneyGram lub E-Gold. Usługi te wykorzystywane są ze względu na gwarancję anonimowości, która zmniejsza prawdopodobieństwo schwytania cyberprzestępcy. Kwota, jaka pozostaje po przelaniu, stanowi "prowizję" muła - naturalnie są to pieniądze, które zostały zarobione nielegalnie za pośrednictwem phishingu lub finansowego szkodliwego oprogramowania.

Może wydawać się, że muł pieniężny to łatwy sposób zarobienia pieniędzy, i niektóre muły mogą sądzić, że wykonują legalną pracę. Jednak z punktu widzenia prawa osoby te są narzędziem wykorzystywanym do popełnienia przestępstwa, w przeciwieństwie do osób, które padają ofiarą oszustw phishingowych. Muł ryzykuje to, że zostanie wyśledzony i aresztowany, szczególnie gdy mieszka w tym samym państwie co ofiara.

Wykorzystywanie przez cyberprzestępców mułów pieniężnych ma kilka zalet. Po pierwsze, jeżeli muł znajduje się w tym samym państwie co oszust, istnieje mniejsze prawdopodobieństwo, że automatyczne systemy bankowe oznaczą transakcje jako podejrzane. Po drugie, oszust może wykorzystywać kilka mułów i podzielić kwotę, jaka jest do przelania, np. może rozłożyć przelanie 5 000 dolarów na dziesięć transakcji, zamiast jednorazowo przelać całą kwotę 50 000 dolarów. Obniża to prawdopodobieństwo zablokowania transakcji jako potencjalnie podejrzanej oraz zmniejsza straty w przypadku zablokowania jednej czy dwóch transakcji.
Naturalnie, angażowanie mułów pieniężnych niesie ze sobą pewne ryzyko; cyberprzestępcy muszą mieć pewność, że mogą zaufać wybranemu mułowi. W końcu istnieje niewielka gwarancja - lub nie ma żadnej - że muł po prostu nie zniknie z pieniędzmi, które zostały przelane na jego konto.

Phishing

Omawiając zjawisko phishingu, istotne jest jednoznaczne zdefiniowanie tego terminu. W artykule tym phishing definiujemy jako oszukańcze wiadomości - rzekomo pochodzące od organizacji (finansowej) - wysyłane w celu nakłonienia użytkowników do ujawnienia poufnych informacji. Jest to kwestia socjotechniki i jeśli w całą sprawę zamieszane jest szkodliwe oprogramowanie, atak ten nie może być uważany za phishing.

Niekończący się strumień wiadomości phishingowych oraz narzędzia do tworzenia phishingu wyraźnie pokazują, że phishing wciąż jest bardzo skutecznym sposobem nakłaniania użytkowników do ujawnienia swoich danych uwierzytelniających. Wynika to z kilku powodów. Po pierwsze, edukacja użytkowników nie dała pożądanych rezultatów - niektóre osoby wciąż klikają odsyłacze zawarte w wiadomościach phishingowych. Użytkownicy albo nie są świadomi mechanizmów bezpieczeństwa (takich jak https), nie zwracają na nie należytej uwagi, albo po prostu ignorują ostrzeżenia o nieważnych lub podejrzanych certyfikatach na stronie internetowej. Ponadto chcąc zmaksymalizować swoje zyski, cyberprzestępcy nieustannie wymyślają coraz bardziej wyrafinowane metody socjotechniki, aby oszukać bardziej świadomych zagrożeń użytkowników.

Prowadzisz firmę ? Zajrzyj na e-mojafirma.infor.pl/mala-firma

Drugi problem polega na tym, że zabezpieczenia większości instytucji finansowych można złamać bardzo prostym atakiem (phishingowym). Szybki przegląd zabezpieczeń stosowanych przez wiele banków w Stanach Zjednoczonych, Wielkiej Brytanii i w innych państwach pokazuje, że dostęp do systemów bankowości online uzyskiwany jest przy pomocy prostej statycznej nazwy użytkownika i hasła. Cyberprzestępca musi jedynie zdobyć nazwę użytkownika i hasło, aby wykonać niemal każdą transakcję. Kolejny problem z wykorzystywaniem statycznej nazwy użytkownika i hasła wiąże się z tym, że dane można przechowywać, co oznacza, że nieautoryzowani użytkownicy lub cyberprzestępcy nie muszą przetwarzać danych w czasie rzeczywistym - można to zrobić później.

Banki posiadające lepsze polityki bezpieczeństwa będą stosowały co najmniej jedno dynamiczne hasło: jednorazowe hasło ważne tylko w danej sesji. Taka dynamiczna autoryzacja może być wykorzystywana podczas logowania się użytkownika lub podpisywania transakcji, a najlepiej w obu przypadkach. Podejście to uniemożliwia podpisanie transakcji przy pomocy hasła, które straciło ważność. Idealnie byłby, gdyby uniemożliwiało również logowanie.

Aby cyberprzestępca mógł dokonywać transakcji za pośrednictwem phishingu, w przypadku gdy stosowane są hasła dynamiczne, musi przeprowadzić atak typu Man-in-the-Middle. Ten rodzaj ataku zostanie omówiony w dalszej części artykułu. Przeprowadzenie ataku MitM jest o wiele trudniejsze niż stworzenie standardowej strony phishingowej; jednak dzięki zestawom narzędzi MitM przy niewielkim wysiłku cyberprzestępcy mogą przygotować ataki na popularne banki.

Ze względu na rozpowszechnienie phishingu, jest to naturalnie skuteczna metoda ataków. Ataki phishingowe działają na wszystkich popularnych systemach operacyjnych. Jednak z punktu widzenia cyberprzestępców phishing ma jedną wadę: użytkownik może wybrać, czy kliknąć czy nie kliknąć zawarty w wiadomości e-mail odsyłacz, a następnie może zdecydować, czy wprowadzić swoje dane uwierzytelniające.

Możliwość wyboru to nieodłączny element socjotechniki. Podejście techniczne polegające na wykorzystywaniu szkodliwego oprogramowania eliminuje ten element wyboru, co sprawia, że użytkownicy, którzy nie dali się nabrać na oszustwo phishingowe, nadal stanowią realny cel.

Zautomatyzowane ataki

Finansowe szkodliwe programy występują w różnych formach i rozmiarach, a ich celem często są konkretne organizacje. Sposób działania szkodliwych programów zwykle zależy od zabezpieczeń banku. To oznacza, że cyberprzestępcy nie muszą marnować czasu na stworzenie zbyt złożonego szkodliwego oprogramowania. Istnieje kilka metod, przy pomocy których można obejść zabezpieczenia bankowe i przechwycić informacje o użytkowniku.

Jeżeli bank wykorzystuje uwierzytelnienie jednokierunkowe ze statyczną nazwą użytkownika i hasłem, wystarczy tylko przechwycić uderzenia klawiszy. Jednak niektóre banki stworzyły dynamiczne klawiatury i aby wprowadzić hasło użytkownik musi kliknąć "losowo wybraną" sekwencję. Autorzy szkodliwego oprogramowania obchodzą tego typu zabezpieczenia przy pomocy dwóch różnych metod - tworzą zrzuty ekranu w momencie odwiedzania przez użytkownika określonej strony lub gromadzą informacje wysłane na stronę, przechwytując formularz. W obu przypadkach skradzione dane są przetwarzane później.

Uzyskiwanie dostępu do kont komplikuje nieco wykorzystywanie numerów TAN (Transaction Authorisation Numbers) w celu podpisywania transakcji. TAN może pochodzić z fizycznej listy wydawanej posiadaczowi konta (na przykład, w postaci karty-zdrapki) przez instytucję finansową albo może być wysyłany SMS-em. W obu przypadkach, cyberprzestępca nie ma dostępu do numeru TAN. W większości przypadków, wykorzystywane przez cyberprzestępców szkodliwe oprogramowanie przechwytuje informacje wprowadzane przez użytkownika w sposób podobny do opisanego wyżej.

Gdy użytkownik wprowadzi TAN, szkodliwe oprogramowanie przechwyci te dane i wyświetli fałszywy komunikat o błędzie lub wyśle na stronę finansową nieprawidłowy TAN. W rezultacie, użytkownik może wprowadzić inny TAN. Czasami do przeprowadzenia transakcji mogą być wymagane dwa TAN-y - zależy to od organizacji i zaimplementowanych przez nią systemów bezpieczeństwa. Jeśli do dokonania transakcji wymagany jest tylko jeden TAN, opisany wyżej atak mógłby pozwolić cyberprzestępcy na dokonanie dwóch transakcji.

Powodzenie takiego ataku jest w dużym stopniu uzależnione od implementacji systemu TAN. Niektóre systemy nie posiadają daty wygaśnięcia TAN-u; kolejny TAN na liście musi być kolejnym TAN-em, który zostanie użyty. Jeśli kolejny TAN na liście nie zostanie wprowadzony na stronę banku, cyberprzestępca będzie mógł użyć go natychmiast lub zachować do późniejszego wykorzystania. Jednak skradzione TAN-y posiadają krótszy okres życia niż statyczna nazwa użytkownika i hasło ze względu na to, że użytkownik, który stale napotyka na problemy podczas sesji transakcji bankowych online, z pewnością zadzwoni do banku z prośbą o pomoc.

Jeżeli TAN-y są wysyłane do posiadacza konta za pośrednictwem SMS-a, dla każdej unikatowej transakcji może być wydany unikatowy TAN przy użyciu metody podobnej do uwierzytelnienia dwukierunkowego. Od tego momentu cyberprzestępcy muszą rozpocząć przetwarzanie danych w czasie rzeczywistym za pomocą ataku Man-in-the-Middle.

Źródło: Kaspersky LAB

Autopromocja

REKLAMA

Źródło: Własne
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Black Friday, Cyber Monday. Cyberprzestępcy już na to czekają. Jak firmy mogą się zabezpieczyć?
21 lis 2024

Black Friday, Cyber Monday. Cyberprzestępcy już na to czekają. Jak firmy mogą się zabezpieczyć przed zagrożeniami? Przedświąteczny sezon zakupowy może stwarzać zagrożenia nie tylko dla klientów ale także dla sklepów.
Wiarygodność ekonomiczna państwa. Problem dla Polski i Węgier
20 lis 2024

Polska i Węgry mają wyzwania związane z wiarygodnością ekonomiczną – tak wynika z tegorocznego Indeksu Wiarygodności Ekonomicznej. Dotyczy to w szczególności obszarów praworządności, finansów publicznych i stabilności pieniądza.
Obowiązek integracji kas rejestrujących z terminalami odroczony do 31 marca 2025 r.
20 lis 2024

Obowiązek integracji kas rejestrujących z terminalami odroczony do 31 marca 2025 r. Zapisy zawarto w ustawie o opodatkowaniu wyrównawczym. W rządzie trwają prace nad całkowitą likwidację tego obowiązku.
Uwaga! Cyberprzestępcy nie odpuszczają. Coraz więcej wyłudzeń w branży transportowej – ofiara płaci dwa razy
19 lis 2024

Fałszywe e-maile coraz częściej są stosowane do wyłudzania środków z firm. Zastosowanie tej metody w transporcie bywa szczególnie skuteczne ze względu na wysoką częstotliwość transakcji oraz międzynarodowy charakter współpracy, co często utrudnia wykrycie oszustwa. Jak się bronić przed wyłudzeniami?

REKLAMA

KAS i CBŚP zatrzymały 19 osób wystawiających tzw. puste faktury. Postawiono 29 zarzutów
19 lis 2024

KAS i CBŚP zatrzymały 19 osób wystawiających tzw. puste faktury. Postawiono 29 zarzutów. Sprawę prowadzi Kujawsko-Pomorski Urząd Celno-Skarbowy w Toruniu i CBŚP, pod nadzorem Zachodniopomorskiego Wydziału Zamiejscowego Departamentu ds. Przestępczości Zorganizowanej i Korupcji Prokuratury Krajowej w Szczecinie.
Co konkretnie możemy zrobić, by zadbać o zdrowie psychiczne i fizyczne pracowników? [Pobierz BEZPŁATNEGO E-BOOKA]
19 lis 2024

Pobierz bezpłatnego e-booka. Dbanie o dobrostan pracowników powinno stanowić priorytet dla zarządów i działów HR, zwłaszcza w kontekście współczesnych wyzwań, przed którymi staje zarówno biznes, jak i społeczeństwo. W obliczu prezydencji Polski w Unii Europejskiej, gdzie jednym z priorytetów staje się profilaktyka zdrowotna, warto podkreślić, jak fundamentalne znaczenie ma ona nie tylko dla jednostek, ale i dla całych organizacji.
Efektywność energetyczna budynków. Nowe przepisy to dodatkowe obowiązki dla biznesu
18 lis 2024

Analizy rozwiązań w zakresie efektywności energetycznej dla wszystkich dużych inwestycji oraz certyfikowane systemy zarządzania energią dla firm energochłonnych. Takie rozwiązania przewidują założenia projektu zmiany ustawy o efektywności energetycznej.
ZUS otrzymał ponad 525,4 tys. wniosków o wakacje składkowe. Wnioski można składać do 30 listopada 2024 r.
18 lis 2024

ZUS otrzymał ponad 525,4 tys. wniosków o wakacje składkowe. Wnioski o wakacje składkowe można składać wyłącznie drogą elektroniczną do 30 listopada 2024 r. Czym są wakacje składkowe?

REKLAMA

Rynek usług kurierskich w Polsce 2024: ostatni okres przyniósł dynamiczne zmiany w obsłudze przesyłek: jak korzystają na nich klienci
17 lis 2024

Polski rynek usług kurierskich, określany fachowo: KEP (Kurier, Express, Paczka) w ostatnich latach przeszedł intensywne zmiany. Są one odpowiedzią na szybki rozwój e-commerce, zmieniające się oczekiwania konsumentów i postępującą cyfryzację usług logistycznych.
Tylko motocykliści odkładają zakup opon na wiosnę, branża notuje więc spektakularną dynamikę sprzedaży w tym kwartale i w całym 2024 roku
17 lis 2024

Branża oponiarska w Polsce, ale i w całej Europie 2024 rok z pewnością odnotuje jako bardzo udany. W ciągu ostatnich dwunastu miesięcy popyt na opony niemal we wszystkich segmentach rośnie dynamicznie, a klienci finalizują także decyzje zakupowe odkładane na przyszłość  powodu przejściowych problemów finansowych.

REKLAMA